Ce mois-ci, « Apache Log4j Remote Code Execution » est la vulnérabilité la plus exploitée, touchant 48,3 % des organisations dans le monde. La vulnérabilité a été signalée pour la première fois le 9 décembre dans le fichier de log d’Apache, Log4j, la bibliothèque de log la plus populaire de Java utilisée dans de nombreux services et applications Internet, avec plus de 400 000 téléchargements depuis son projet GitHub. Cette vulnérabilité a provoqué un tsunami, touchant près de la moitié des entreprises du monde entier en un temps record. Les attaquants sont capables d’exploiter les applications vulnérables pour exécuter des cryptojackers et d’autres logiciels malveillants sur des serveurs compromis. Jusqu’à présent, la plupart des attaques se sont concentrées sur l’utilisation du minage de crypto-monnaies aux dépens des victimes. Cependant, les attaquants avertis se sont mis à agir de manière agressive et à profiter de la brèche sur des cibles de grande qualité.

« Log4j a fait les gros titres en décembre. Il s’agit de l’une des vulnérabilités les plus graves que nous ayons jamais observées. En raison de la complexité des correctifs et de la facilité avec laquelle elle peut être exploitée, elle risque de rester présente pendant de nombreuses années encore, à moins que les entreprises ne prennent des mesures immédiates pour prévenir les attaques », a déclaré Maya Horowitz, vice-présidente de la recherche chez Check Point Software. « Ce mois-ci, nous avons également vu le botnet Emotet passer du septième au deuxième rang des logiciels malveillants les plus répandus. Comme nous le soupçonnions, il n’a pas fallu longtemps à Emotet pour s’imposer depuis sa réapparition en novembre. Il est évasif et se propage rapidement par le biais d’e-mails de phishing contenant des pièces jointes ou des liens malveillants. Il est aujourd’hui plus important que jamais de mettre en place une solution de sécurité solide pour les e-mails et de veiller à ce que les utilisateurs sachent comment identifier un message ou une pièce jointe suspecte. »

CPR révèle également ce mois-ci que le secteur le plus attaqué dans le monde est celui de l’éducation et la recherche, suivi par celui des services gouvernementaux/de l’armée et des ISP/MSP. « Apache Log4j Remote Code Execution » reste la vulnérabilité la plus couramment exploitée, avec un impact sur 48,3% des organisations dans le monde, suivie par « Web Server Exposed Git Repository Information Disclosure » qui affecte 43,8% des organisations dans le monde. « HTTP Remote Code Execution » conserve la troisième place dans le classement des vulnérabilités les plus exploitées, avec un impact global de 41,5%.

Top des familles de logiciels malveillants en France (voir annexe plus bas pour le top 10 de décembre 2021 des logiciels malveillants en France)
* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Trickbot est le malware le plus populaire avec un impact global sur 4% des entreprises, suivi par Emotet et Formbook qui touchent tous les deux 3% des entreprises dans le monde.

1. ? Trickbot - Trickbot est un botnet dominant et un cheval de Troie bancaire constamment mis à jour avec de nouvelles capacités, fonctionnalités et vecteurs de distribution. Trickbot peut ainsi être un malware flexible et personnalisable et être distribué dans le cadre de campagnes polyvalentes.

2. ? Emotet - Emotet est un cheval de Troie avancé, auto-propagé et modulaire. Emotet était autrefois utilisé comme cheval de Troie bancaire, mais il est depuis peu utilisé comme distributeur d’autres logiciels malveillants ou de campagnes malveillantes. Il utilise diverses méthodes pour maintenir la persistance et des techniques d’évasion pour éviter d’être détecté. De plus, il peut se propager par le biais de courriels d’hameçonnage contenant des pièces jointes ou des liens malveillants.

3. ? Smokeloader - SmokeLoader est un cheval de Troie qui permet à un attaquant de contrôler à distance un ordinateur infecté et d’effectuer toute une série d’activités malveillantes, notamment le téléchargement et l’installation d’autres logiciels malveillants en fonction de la géolocalisation de la victime, et le vol de mots de passe de clients FTP, de navigateurs, de clients de messagerie instantanée, de clients de poker et de clients de messagerie. SmokeLoader peut contourner l’UAC et plusieurs HIPS et peut désactiver les solutions antivirus. Il se propage par plusieurs méthodes, dont des kits d’exploitation et une campagne de spam spécifique offrant un petit-déjeuner gratuit chez McDonald’s.

Les secteurs les plus attaqués dans le monde :

Ce mois-ci, l’éducation/la recherche est le secteur le plus attaqué dans le monde, suivi du secteur gouvernemental/militaire et des ISP/MSP.

1. Enseignement/Recherche
2. Services gouvernementaux/armée
3. ISP/MSP

Principales vulnérabilités exploitées

Ce mois-ci, « Apache Log4j Remote Code Execution » est la vulnérabilité exploitée la plus courante, affectant 48,3% des organisations dans le monde, suivie de « Web Server Exposed Git Repository Information Disclosure » qui touche 43,8% des organisations dans le monde. « HTTP Remote Code Execution » reste à la troisième place dans le classement des vulnérabilités les plus exploitées, avec un impact global de 41,5%.
1. ? Apache Log4j Remote Code Execution (CVE-2021-44228) - Une vulnérabilité d’exécution de code à distance existe dans Apache Log4j. L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système affecté.
2. ? Web Server Exposed Git Repository Information Disclosure - Une vulnérabilité de récupération d’informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d’informations de compte.
3. ? HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.

Top des malwares mobiles

Ce mois-ci, AlienBot occupe la 1ère place parmi les logiciels malveillants mobiles les plus répandus, suivi de xHelper et FluBot.

1. AlienBot - La famille de malwares AlienBot est un Malware-as-a-Service (MaaS) pour les appareils Android qui permet à un attaquant distant, dans un premier temps, d’injecter du code malveillant dans des applications financières légitimes. L’attaquant obtient l’accès aux comptes des victimes, et finit par contrôler complètement leur dispositif.
2. xHelper - Une application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs et de se réinstaller en cas de désinstallation.
3. FluBot - FluBot est un botnet Android distribué via des SMS de phishing, le plus souvent en se faisant passer pour des marques de livraison logistique. Une fois que l’utilisateur clique sur le lien contenu dans le message, FluBot est alors installé et a accès à toutes les informations sensibles du téléphone.

Le classement mondial d’impact des menaces de Check Point et sa carte
ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point. ThreatCloud fournit des renseignements sur les menaces en temps réel provenant de centaines de millions de capteurs dans le monde entier, sur les réseaux, les terminaux et les mobiles. L’indice mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point.

Une fois que l’utilisateur clique sur le lien contenu dans le message, FluBot est installé et a accès à toutes les informations sensibles du téléphone.